Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護JISQ15001要求事項を読み解こう 3.3.1 個人情報の特定
2006年12月05日17時15分 / 提供:ネットセキュリティ
プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column10.html
こんにちは。今回は前回に引き続き、JISQ15001:2006の要求事項を読み解いてみたいと思います。
今回対象とする要求事項は、「3.3.1 個人情報の特定」です。
本要求事項の主旨は、「自社で取り扱っている個人情報を明確にしなさい」ということになります。
さて、なぜPマークを取るにあたりこのようなことを実施する必要があるのでしょうか?
それは、「保護の対象を明確にするため」です。
Pマークの対象はあくまで個人情報であり、認証を取るためにはそれらを適切に取り扱い、保護するルールを作る必要があります。
対象が不明確な状態でルールを作ってしまうと漏れがあるかもしれません。その結果、守るべき個人情報が守られていない状態になってしまうおそれがあるのです。
ですから、この要求事項を使って自社で取り扱う個人情報(=保護の対象)を明確にする必要があるのです。
ここまで説明すると、本要求事項で具体的に実施しなければならないことが分かってきます。
皆様がやるべきことは、自社にある個人情報(紙、電子媒体、デジタルデータ)を洗い出すことです。
履歴書、経歴書、名刺、健康診断の結果、株主名簿、顧客データベース、メルマガ購読者情報等々、社内には数多くの個人情報が存在しているはずです。それらを漏れなく洗い出し、まとめましょう。
この作業を実施するにあたり気をつけなければならないこととして、「個人情報の定義をはっきりさせる」ということが挙げられます。
特に現場に洗い出し作業を実施してもらう際は、「何をもって個人情報とするのか」を共通認識として持たせないと、洗い出しに漏れが出てしまいます。JISQ15001における個人情報の定義は、基本的に個人情報保護法と同じです。ただし、保護法と異なり、故人の情報も含まれるので注意が必要ですね。
また、本作業時にお客様から「社内の事務手続きで使用している申請書類等、細々したものも洗い出しの対象になるのですか?」という質問を受けることがあります。
この質問に対する答えとしては、規格を厳密に解釈すると「YES」になると思われます。
ただし、実際の審査においてはその辺りを大目に見てくれる審査員もいるようですので、結果的にはケースバイケースだと思います。
上記のようなことで悩んだ場合、そもそもの目的に戻りましょう。
保護の対象が明確になればよいわけですから、それができていればOKとし、そこから先は審査員に判断してもらえばよいのです。
完璧を求めるあまり、このフェーズに時間をかけすぎるのは非効率のような気がします。
さて、本要求事項ではもう1つ要求されていることがあります。それは、洗い出した個人情報の“ライフサイクル(入手〜保管・廃棄までの流れ)”を明確にするということです。
規格の本文にはそのようなことは書かれていませんが、規格の解説部分には、「特定した個人情報については、その取り扱い状況を一覧できる手段を整備する必要がある」と書かれています。
例えば、履歴書であれば以下のような感じです。
取得:応募者から郵送でいただく
一時保管:・面接まで人事部の施錠可能なキャビネットに保管
・面接終了後は廃棄までの間人事部の施錠可能なキャビネットに保管
利用(複写):面接官分コピーを取る
移送:・支社で受領したものは本社人事部にFAXで送る
・不合格者分は配達記録付きの郵便で応募者に送る
廃棄:シュレッダーで裁断する
このライフサイクルの洗い出しは、リスク分析のインプットになりますので、漏れがないように、かつ細かく洗い出すようにしてください。
細かくというのは、“誰が”という主体や、“どのように”という手段を明確にするという意味です。
そして最後に、これら洗い出しの結果は、定期的に見直す必要があるということです。
最近の審査では定期的な見直しの手順が抜けていると、指摘を受けることがあります。
時間の経過と共に社で取り扱う個人情報は変化するでしょうし、取り扱いプロセスも変わる可能性があります。
保護の対象である個人情報が網羅され、リスク分析が行われ、結果として適切な管理措置が講じられるように、見直しは必要なのです…
【執筆:浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column10.html
Ads by Google
コメントするにはログインが必要です
関連ニュース:クマ
- 酒井被告「執行猶予判決」 ネットで注目は産経「似顔絵」
J-CASTニュース 11月09日18時47分(26) - 少女マンガ版『デスノート』と話題騒然! 集英社『りぼん』に掲載
ガジェット通信 11月08日23時19分(17) - 修正に、スキャンダル封印まで! 出版社による芸能プロへの"気遣い"サイゾーウーマン 11月09日12時00分(9)
- 楽天の「Edy」買収戦略 ホリエモンが大絶賛J-CASTニュース 11月09日19時29分(6)
- “2台目”なら悪くない?――「WILLCOM NS」の価値をブラウザ機能から探る
+D Mobile 11月08日21時34分(3)
|
6,090円
ディノス
|
6,090円
ディノス
|
6,090円
ディノス
|
1,995円
ワールドダイレクトスタイル
|
ITアクセスランキング
- 【パソコン快適活用術】セキュリティソフトは役に立たない?Techinsight Japan 11日08時48分(29)
- 市橋容疑者「逮捕」で書き込み殺到 2ちゃんねる、繋がりにくい状況J-CASTニュース 10日20時34分(13)
- ジブリ顔負け!? 自主制作アニメがすごすぎる! 『ニコニコ動画』で大注目
ガジェット通信 10日14時26分(10) - 任天堂が「真摯な対応が見られない」とマジコン業者に激怒
ロケットニュース24 10日17時37分(15) - 新Android携帯『Droid』:高性能でも乗り換えない理由
WIRED VISION 10日11時20分(3) - 「値段が高すぎるiPhoneアプリ」(2):笑えるアプリなどWIRED VISION 11日08時34分
- ケータイWi-Fiの時代へ!ソフトバンク、冬春の新ケータイ22機種を発表
ITライフハック 11日10時24分(1) - 世界初の分離合体するセパレートケータイ、NTTドコモの「F-04B」速攻フォトレビューGIGAZINE 10日16時48分(6)
- 【速報】NTTドコモが2009年冬モデルおよび2010年春モデルを発表、上下に分離する世界初の「セパレートケータイ」など20機種を発売へGIGAZINE 10日12時57分(2)
- ビックリなご近所事情で決まる中国静音PCの運命
+D PC USER 10日12時53分(3)
注目の情報
過払い金返還の無料弁護士相談!消費者金融に払い過ぎた利息が取り返せる可能性があります
完済後もOK。返済中であれば取り立てを止めることができます
借金215万円がゼロになり、368万円戻ってきた事例も!!
弁護士相談24時間受付中




![偽セキュリティ対策ソフトの脅威が再拡大 〜 10月のウイルス・不正アクセス状況[IPA]](http://image.news.livedoor.com/newsimage/7/8/78f52_58_339ac550f54d5427383243ea184dbca4-s.jpg)











行きの電車、帰りの電車で